徐州中醫(yī)院多措并舉嚴(yán)禁非法“統(tǒng)方” 切實(shí)保障醫(yī)院信息安全

　全程導(dǎo)醫(yī)網(wǎng) 徐州衛(wèi)生信息：譚云龍 報(bào)道 信息安全是醫(yī)院安全工作的重要組成部分，直接影響到醫(yī)院的醫(yī)療工作。徐州市中醫(yī)院多措并舉嚴(yán)禁醫(yī)務(wù)人員非法“統(tǒng)方”，開(kāi)展崗位廉政教育，筑牢思想防線，并狠抓落實(shí)，建立信息安全管理、監(jiān)督長(zhǎng)效機(jī)制，切實(shí)保障醫(yī)院信息安全。

　　近年來(lái)，醫(yī)院不斷加大監(jiān)控力度，堅(jiān)決打擊伸向醫(yī)院的非法統(tǒng)方“黑手”，加強(qiáng)“防統(tǒng)方”工作，完善工作制度，落實(shí)相關(guān)責(zé)任，遏制醫(yī)藥衛(wèi)生領(lǐng)域商業(yè)賄賂行為，保障醫(yī)院安全運(yùn)行。醫(yī)院領(lǐng)導(dǎo)多次帶領(lǐng)廣大干部職工集中學(xué)習(xí)文件精神，制定和完善了醫(yī)院信息安全工作的相關(guān)制度，如《關(guān)于醫(yī)院信息系統(tǒng)藥品、高值耗材統(tǒng)計(jì)功能管理的規(guī)定》、《信息安全保密制度》等。醫(yī)院對(duì)各個(gè)部門通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)查詢醫(yī)院信息的權(quán)限實(shí)行分級(jí)管理，對(duì)醫(yī)院信息系統(tǒng)中有關(guān)藥品、高值耗材使用等信息實(shí)行專人負(fù)責(zé)、加密管理，嚴(yán)禁為商業(yè)目的統(tǒng)方(所謂商業(yè)目的“統(tǒng)方”，是指醫(yī)院中個(gè)人或部門為藥品、器械營(yíng)銷人員提供醫(yī)生或部門一定時(shí)期內(nèi)臨床用藥量、耗材量信息，供其發(fā)放回扣的行為)。

　　一、不斷加強(qiáng)醫(yī)院信息安全管理

　　市中醫(yī)院嚴(yán)格執(zhí)行保密承諾簽訂制度。醫(yī)院信息科、器械科、藥劑科相關(guān)從業(yè)人員和系統(tǒng)服務(wù)商分別簽訂了信息保密協(xié)議，作出承諾不泄露醫(yī)院任何業(yè)務(wù)數(shù)據(jù)信息，否則將承擔(dān)相應(yīng)責(zé)任。以上科室被列為醫(yī)院預(yù)防職務(wù)犯罪崗位風(fēng)險(xiǎn)點(diǎn)進(jìn)行排查梳理，查找漏洞，完善防控措施。醫(yī)院加強(qiáng)與上級(jí)行政管理部門及醫(yī)保、信息等部門的溝通，對(duì)醫(yī)院內(nèi)部HIS系統(tǒng)及時(shí)更新維護(hù)，構(gòu)筑網(wǎng)絡(luò)防火墻，做好外接系統(tǒng)前置機(jī)安保措施。

　　醫(yī)院嚴(yán)格權(quán)限密碼和用戶權(quán)限管理。醫(yī)院制訂《信息系統(tǒng)用戶權(quán)限保密制度》，保障信息系統(tǒng)安全、可靠、穩(wěn)定地運(yùn)行，防范醫(yī)療風(fēng)險(xiǎn)。系統(tǒng)管理員的上機(jī)口令實(shí)行“雙密碼”制度，嚴(yán)格管理，嚴(yán)禁泄密，須由兩人分別錄入密碼方可進(jìn)入，核心密碼做到每周更換。操作員代碼和權(quán)限統(tǒng)一由微機(jī)室扎口管理，對(duì)各操作員使用模塊的權(quán)限設(shè)置進(jìn)行分級(jí)管理。由各使用單位組長(zhǎng)、護(hù)士長(zhǎng)統(tǒng)一上報(bào)操作員名單和權(quán)限，微機(jī)室根據(jù)名單嚴(yán)格執(zhí)行，不擴(kuò)大操作員權(quán)限范圍。

　　醫(yī)院嚴(yán)格計(jì)算機(jī)機(jī)房安全管理。醫(yī)院制訂《機(jī)房安全管理制度》，做好出入人員管理，嚴(yán)禁非信息中心工作人員進(jìn)入機(jī)房，特殊情況需經(jīng)批準(zhǔn)，并登記后方可進(jìn)入。每天由專人依據(jù)“機(jī)房檢查制度”檢查機(jī)房(包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、濕度、溫度、空調(diào)、UPS等)，并認(rèn)真、如實(shí)、詳細(xì)地作好記錄。對(duì)數(shù)據(jù)實(shí)施嚴(yán)格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。

　　醫(yī)院嚴(yán)格相關(guān)人員日常管理。醫(yī)院信息系統(tǒng)管理人員定期對(duì)系統(tǒng)漏洞、賬號(hào)安全等情況進(jìn)行檢查、維護(hù)，及時(shí)終止計(jì)算機(jī)離崗人員的系統(tǒng)訪問(wèn)權(quán)限。系統(tǒng)開(kāi)發(fā)公司等第三方人員進(jìn)入信息系統(tǒng)，需提交申請(qǐng)，經(jīng)有關(guān)負(fù)責(zé)人批準(zhǔn)后進(jìn)行，并做好記錄工作。

　　二、不斷加強(qiáng)醫(yī)院信息系統(tǒng)管理

　　市中醫(yī)院嚴(yán)格終端設(shè)備安全管理。1.醫(yī)院科學(xué)合理設(shè)置各信息設(shè)備的功能模塊，已卸除所有不必要的敏感信息統(tǒng)計(jì)模塊，能做到嚴(yán)格限制剩余統(tǒng)計(jì)功能權(quán)限分配，每項(xiàng)工作均有專人負(fù)責(zé)，明確具體責(zé)任，嚴(yán)格管理敏感信息統(tǒng)計(jì)查詢功能，嚴(yán)禁普通操作人員使用統(tǒng)計(jì)、匯總等“統(tǒng)方”敏感功能。2.我院購(gòu)入桌面管理控制軟件，徹底控制醫(yī)院內(nèi)部電腦桌面的行為，就以下方面做到了絕對(duì)控制：控制工作站“白名單”，在名單列表以外的軟件無(wú)法運(yùn)行，嚴(yán)格控制非法應(yīng)用程序在全院所有工作終端的運(yùn)行;控制工作終端“U盤”使用，未經(jīng)信息科授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)無(wú)法在全院任何一臺(tái)接入網(wǎng)絡(luò)的電腦終端使用，有效杜絕信息泄露和外來(lái)移動(dòng)存儲(chǔ)介質(zhì)的使用;記錄后臺(tái)日志，任何終端就泄露信息或損壞終端安全的行為將會(huì)被記錄在案，為事后處理提供有效證據(jù)。3.醫(yī)院進(jìn)行網(wǎng)絡(luò)整改，采用高端天融信網(wǎng)絡(luò)防火墻系統(tǒng)以及醫(yī)院內(nèi)部的VLAN網(wǎng)絡(luò)技術(shù)將外部網(wǎng)與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)隔離，即凡能訪問(wèn)因特網(wǎng)的電腦終端上均無(wú)法運(yùn)行醫(yī)院內(nèi)部信息系統(tǒng)，在醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)的電腦終端上無(wú)法訪問(wèn)外部網(wǎng)，從網(wǎng)絡(luò)環(huán)境上保障信息安全。

　　醫(yī)院嚴(yán)格限定“訪問(wèn)”權(quán)限。醫(yī)院規(guī)定從事統(tǒng)計(jì)、匯總等“統(tǒng)方”敏感功能的人員必須在授權(quán)范圍內(nèi)“訪問(wèn)”信息系統(tǒng)，設(shè)置多人多重密碼防護(hù)，并每月定期或不定期更換密碼。建立健全機(jī)制，所有到醫(yī)院信息科進(jìn)行數(shù)據(jù)查詢的申請(qǐng)工作均需要按照數(shù)據(jù)提取流程進(jìn)行，并將數(shù)據(jù)提取人、申請(qǐng)理由、審批人、執(zhí)行人員及執(zhí)行時(shí)間等做詳細(xì)登記。該院網(wǎng)絡(luò)接入控制，購(gòu)入上網(wǎng)行為控制軟件，現(xiàn)已做到對(duì)所有連入醫(yī)院網(wǎng)絡(luò)的電腦終端的接入控制，在未經(jīng)過(guò)信息科授權(quán)的情況下，任何外來(lái)人員無(wú)法通過(guò)私用電腦終端進(jìn)入我院網(wǎng)絡(luò)。

　　醫(yī)院利用“防統(tǒng)方”軟件實(shí)施全面監(jiān)控。醫(yī)院已安裝“防統(tǒng)方”軟件，采取對(duì)計(jì)算機(jī)網(wǎng)絡(luò)共享信息嚴(yán)格授權(quán)、加密等有效措施，防止個(gè)別工作人員利用統(tǒng)計(jì)、報(bào)告、分析等方式，獲取醫(yī)生或部門用藥的有關(guān)信息，透露給醫(yī)藥營(yíng)銷人員。醫(yī)院通過(guò)該軟件篩查出危險(xiǎn)查詢行為，根據(jù)報(bào)警信息可定位使用者IP地址，及時(shí)采取針對(duì)性措施，有效打擊了非法“統(tǒng)方”行為。

　　三、不斷加強(qiáng)醫(yī)院信息監(jiān)督檢查

　　市中醫(yī)院嚴(yán)格日常審計(jì)。醫(yī)院設(shè)有專人負(fù)責(zé)的審計(jì)分析崗位，承擔(dān)對(duì)日常系統(tǒng)日志、數(shù)據(jù)庫(kù)異常操作等信息的分析篩查工作，排查“統(tǒng)方”行為。嚴(yán)格執(zhí)行醫(yī)院信息安全及計(jì)算機(jī)機(jī)房管理制度，不進(jìn)入機(jī)房，不掌握核心數(shù)據(jù)庫(kù)及服務(wù)器操作系統(tǒng)密碼。

　　醫(yī)院嚴(yán)格責(zé)任追究。醫(yī)院對(duì)非法“統(tǒng)方”工作從嚴(yán)管理、常抓不懈，投訴舉報(bào)渠道暢通，自覺(jué)接受社會(huì)監(jiān)督。醫(yī)院組織相關(guān)部門工作人員不定期深入到臨床科室、門診診室、藥劑科、計(jì)算機(jī)房進(jìn)行查訪。對(duì)非法“統(tǒng)方”的人員，一經(jīng)發(fā)現(xiàn)和查實(shí)，情節(jié)輕微的按照相關(guān)規(guī)定處理。情節(jié)嚴(yán)重的停止醫(yī)生處方權(quán)，構(gòu)成犯罪的移送司法機(jī)關(guān)追究刑事責(zé)任。對(duì)科室負(fù)責(zé)人因教育不力、管理不嚴(yán)，造成醫(yī)生用藥信息泄露，并為醫(yī)藥營(yíng)銷人員“回扣”提供方便的，予以免職處理。

　　徐州市中醫(yī)院通過(guò)進(jìn)行非法“統(tǒng)方”的預(yù)防阻止和審計(jì)追溯，保障了醫(yī)院的信息安全，切實(shí)加強(qiáng)了醫(yī)務(wù)人員崗位風(fēng)險(xiǎn)廉政教育，強(qiáng)化了相關(guān)從業(yè)人員的保密意識(shí)，有效地推進(jìn)了醫(yī)藥購(gòu)銷領(lǐng)域商業(yè)賄賂治理工作的深入開(kāi)展。